A市中医堂等保三级建设方案

发表于   |   分类于 项目案例   |   暂无评论   |  字数 8371

项目背景

近年来,信息技术对健康医疗事业的影响日趋明显,以大数据、云计算、移动互联等新兴信息技术为核心的新一轮科技革命,推动了人口健康信息化和健康医疗大数据应用发展,互联网医疗火热背后,医疗机构的网络安全问题如影随形。

A市中医堂计划推出智慧药房系统,其系统包括煎药模块和互联网医院模块。该系统需收集公众的信息数据,公民信息数据与公众生命安全、民生息息相关,重要性不言而喻。A市中医堂作为网络运营者,无论从网络安全防御技术层面还是从网络安全法、等级保护制度、卫生行业指导规范的合规、合法上来说,完善的网络安全技术手段,保护关键基础设施安全、重要信息数据安全势在必行。本方案以A市中医堂的整体信息系统建设为基础,分析安全建设需求,结合国家等级保护建设规范、网络安全法而编制,A市中医堂的信息安全合规性建设、业务监管和防护、安全运营管理和机制建设提供指导。

需求分析

当前网络拓扑结构

tuopu.png

需求分析

安全合规需求

2017年6月1日《中华人民共和国网络安全法》正式实施,标志着我国网络空间安全建设正式迈入法制化时代,《网络安全法》明确提出了国家实行网络安全等级保护制度,对国家关键信息基础设施实行重点保护,标志着等保2.0时代正式开启。

安全技术需求

安全物理环境需求

物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性,进而提高整个网络的抗破坏力。例如:

机房缺乏控制,人员随意出入带来的风险;
线路老化或是有意、无意的破坏线路;
设备在非预测情况下发生故障、停电等;
自然灾害如地震、水灾、火灾、雷击等;
电磁干扰等。
应优先考虑物理安全风险,保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。

安全通信网络需求

网络结构

网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性;带宽能够满足业务高峰时期数据交换需求;并合理的划分网段和VLAN。

通信完整性与保密性

由于网络协议及文件格式均具有标准、开发、公开的特征,因此数据在网上存储和传输过程中,不仅仅面临信息丢失、信息重复或信息传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,必须要确保信息内容在发送、接收及保存的一致性;并在信息遭受篡改攻击的情况下,应提供有效的察觉与发现机制,实现通信的完整性。
而数据在传输过程中,为能够抵御不良企图者采取的各种攻击,防止遭到窃取,应采用加密措施保证数据的机密性。

可信验证

对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到A市中医堂业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。

安全区域边界需求

边界防护

边界的完整性如被破坏则所有控制规则将失去效力,因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护边界完整性。

访问控制

对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。

入侵防范

各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。

安全审计

在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。

恶意代码与垃圾邮件防范

现今,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥,目前计算机病毒的传播途径与过去相比已经发生了很大的变化,更多的以网络(包括 Internet、广域网、局域网)形态进行传播,因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。

安全计算环境需求

身份鉴别

身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。

访问控制

访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。

安全审计

安全审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。

入侵防范

主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。

恶意代码防范

病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。

可信验证

对于一个不断发展的网络而言,为方便办公,在网络设计时保留大量的接入端口,这对于随时随地快速接入到A市中医堂业务网络进行办公是非常便捷的,但同时也引入了安全风险,一旦外来用户不加阻拦的接入到网络中来,就有可能破坏网络的安全边界,使得外来用户具备对网络进行破坏的条件,由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入,能监控网络,对于没有合法认证的外来机器,能够阻断其网络访问,保护好已经建立起来的安全环境。

数据完整性与保密性

主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性;保护鉴别信息的保密性。

数据备份与恢复

数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要,是必须考虑的问题。对于关键数据应建立数据的备份机制,而对于网络的关键设备、线路均需进行冗余配置,备份与恢复是应对突发事件的必要措施。

剩余信息保护

对于正常使用中的主机操作系统和数据库系统等,经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储,在这些存储资源重新分配前,如果不对其原使用者的信息进行清除,将会引起用户信息泄漏的安全风险,因此,需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除
对于动态管理和使用的客体资源,应在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。

个人信息保护

对于个人信息安全,不仅面临着机密性和完整性的问题,同样还面临着非法收集和非法使用的问题,应采用相关手段防止用户非法收集、使用个人信息等行为。

安全管理中心需求

A市中医堂缺少相应的技术手段来对网络内部众多的网络设备、安全设备以及服务器的集中管理,缺乏对于各种安全事件统一进行分析和管理的工具,网络安全管理和运维工作效率低下、工作负担重,需要借助自动化、平台化的技术工具提高管理效率,具体需求包括系统管理、审计管理、安全管理、集中管控等方面。

安全管理需求

“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外,安全管理是保障安全技术手段发挥具体作用的最有效手段,建立健全安全管理体系不但是国家等级保护中的要求,也是作为一个安全体系来讲,不可或缺的重要组成部分。
安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导,形成可操作的体系。主要包括:
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。

规划建议

设计目标

参照国家卫计委2011 年印发的《卫生行业信息安全等级保护工作的指导意见》相关要求以及《信息安全技术 网络安全等级保护定级指南》,A市中医堂信息系统应定级为三级,根据三级系统安全目标,本次整改建设完成后系统需具备以下能力:在统一的安全防护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭受损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。使系统具有在统一安全策略管控下,保护敏感资源的能力,并保障基础计算资源和应用程序可信,确保关键执行环节可信。

设计原则

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。本方案设计过程中遵循以下基本原则:
a) 自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
b) 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d) 动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
e) 先进性与成熟性原则
所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。
f) 经济性原则
项目设计和建设过程中,将充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。

设计思路

网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。本方案不仅严格按照等级保护的基本要求进行设计,在总体性要求上还应遵循以下建设思路:

构建纵深的防御体系

在方案设计过程中应从技术和标准两个方面考虑,在采取由点到面的各种安全措施时,在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证A市中医堂系统整体的安全防御能力,应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个维度落实等级保护三级相关要求,形成纵深防御体系。

采取互补的安全措施

方案设计应遵从互补原则,在将各种安全控制措施落实到A市中医堂网络中时,应考虑各个安全措施之间的互补性,关注各个安全控制在层面内,层面间和功能间产生的链接、交互、协调、协同等相互关联关系,保证各个安全控制共同综合作用于A市中医堂网络上,使得A市中医堂网络的整体安全保护能力得以保证。

保证一致的安全强度

本方案设计时将安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范等内容,分解到济A市中医堂网络防御的各个层面,在实现各个层面的安全功能时,应保证每个安全功能实现强度的一致性。防止某个层面安全措施的减弱导致整体安全保护能力在这个安全功能上削弱,例如:要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;要实现基于标记的访问控制,则应保证在各个层面均实现基于标记的访问控制,并保证标记数据在整个网络内部流动时标记的唯一性等。

建立统一的支撑平台

为了保证A市中医堂网络的整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性等 安全功能的实现。

进行集中的安全管理

为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,A市中医堂网络应建立集中的管理中心,集中管理A市中医堂网络中的各个安全控制组件,支持统一安全管理。

设计依据

国家政策

1) 《中华人民共和国网络安全法》

2) 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

3) 《关于加强信息安全保障工作的意见》(中办发[2003]27号)

4) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

5) 《网络安全管理办法》(公通字[2006]7号)

6) 《信息安全等级保护管理办法》(公通字[2007]43号 )

7) 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)

8) 《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号

安全标准

1) GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》

2) GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

3) GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

4) GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》

5) GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

6) GBT36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》

7) GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》

8) GB 17859-1999 《计算机信息系统安全保护等级划分准则》

9) 信息系统安全保障理论模型和技术框架IATF理论模型及方法论

安全技术体系设计

安全物理环境

机房建设参照等级保护三级物理环境安全控制项的要求,结合《电子信息系统机房设计规范》(GB50174-2008)标准进行建设,主要涉及的范畴包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃防破坏等方面。具体包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。

安全通信网络

为了实现信息系统的等级化划分与保护,需要依据等级保护的相关原则规划与区分不同安全保障对象,并根据保障对象设定不同业务功能及安全级别的安全区域,以根据各区域的重要性进行分级的安全管理。

信息系统承载生产、办公、系统开发测试等多项业务,需根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级。信息系统是进行等级保护管理的最终对象,为体现重点保护重要网络安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:

  1. 相同的管理机构

信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略;

  1. 相似的业务类型

信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略;

  1. 相同的物理位置或相似的运行环境

信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护;

  1. 相似安全控制措施

信息系统内的各业务子系统因面临相似的安全威胁,因此需采用相似的安全控制措施来保证业务子系统的安全。

安全区域边界

防火墙受控接口提供跨边界通信:在网络边界、办公外网与互联网的网络边界部署下一代防火墙;对防火墙配置基于端口的访问控制策略,并启用入侵防御和防病毒安全检测引擎,确保所有跨越网络边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理;
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

安全计算环境

数据库审计与风险控制系统

建议在核心业务区服务器上行交换机处旁路部署数据库审计系统,采用多核、并发审计、文件式存储等先进技术,多角度审计、分析数据库活动,并对异常的数据库行为进行告警通知,同时记录事件的用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。

综合日志审计平台

建议网络内所有的终端、服务器、网络设备、安全设备、应用系统、数据库和中间件均开启自身日志记录功能,对全网的用户行为和重要安全事件进行审计,由日志审计系统通过Syslog、SNMP Trap、NetFlow、Telnet/SSH、WMI、FTP/SFTP/SCP、JDBC、文件等采集方式,统一收集审计对象海量的日志数据,从不同角度进行安全信息的可视化分析,以统计报表形式展示位运维管理人员。

主机安全及管理系统

在安全管理区部署主机监控与审计系统控制中心服务器,同时每个接入终端上部署一个客户端,统一实施全局网络配置和安全管理、监控,配置如下功能:

(1) 开启补丁分发功能模块及时进行主机系统补丁升级;

(2) 开启系统账号、服务、软件、共享监视策略。可在用户进行创建、修改、删除时进行告警提示。

(3) 进程监视策略。可定义进程黑、白名单,支持进程路径、HASH、版本、内容匹配,可忽略已签名程序,白名单指定进程可设置自保护、启动退出告警,黑名单中的进程可自动中止。

(4) 开启服务监控策略,采用黑白名单方式控制系统服务启用或禁用,可根据服务名称、显示名称、路径进行匹配。

安全管理中心

通过部署APT攻击(网络战)预警平台,实现预警重要信息系统发生的安全事件、完善核心系统安全防护能力、对攻击进行取证溯源分析、感知安全威胁趋势规律的功能建设。

APT攻击(网络战)预警平台对网络进行快速抓包分析,解析关键的协议。通过各种手段进行分析并发现和定位APT攻击。其中包括:

l WEB威胁深度检测

l 邮件威胁深度检测

l 病毒木马深度检测

l 0day攻击检测

l 异常行为分析

l 综合关联分析

通过综合关联分析综合判断APT攻击的行为和攻击路径。

深度协议分析

APT攻击(网络战)预警平台通过对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的能力。

APT攻击(网络战)预警平台能够在网络中出现攻击时主动发现攻击,并进行预警。利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、IMAP、FTP、SMB等。

APT攻击(网络战)预警平台能检测和预警一系列的攻击,无论是已知的或未知的,并能够阻止那些最常见的攻击。如:基于web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

WEB应用攻击检测

APT攻击(网络战)预警平台通过对Web流量和应用进行深度检测,提供了全面的入侵防御能力。

APT攻击(网络战)预警平台能在攻击到达Web服务器之前进行检测,并进行实时的攻击预警。APT攻击(网络战)预警平台能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。APT攻击(网络战)预警平台还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。

APT攻击(网络战)预警平台能检测一系列的攻击,无论是已知的或未知的。能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

邮件攻击检测

APT攻击(网络战)预警平台对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。

通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。

0day攻击检测

通过长期的研究,总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法,对目标文件进行检测,发现其中的0day攻击样本。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征,并结合动态分析技术可以有效检测0day攻击行为。

异常行为分析

APT通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。

目前检测基于多个维度,如:

l 基于时间的检测

l 基于ip的检测

l 基于端口的检测

l 基于协议的检测

l 基于木马回连行为的分析

攻击路径分析

APT在发起攻击的过程中往往会利用多种攻击手段,APT攻击(网络战)预警平台会通过对攻击者的所有行为进行关联,分析一段时间内所有利用的攻击手段,最终完整还原出APT攻击路径,并以图形化的方式展示出来,便于用户及时对APT攻击进行跟踪分析。

预期成果

安全保障框架框架总体示意

如下图所示:

show.png
安全保障主体是业务系统,安全保障框架所有安全控制都应以安全方针、策略做为安全工作的指导与依据,落实安全管理和安全技术两大维度的具体实施与维护,以业务系统的安全运营为信息安全保障建设的核心,并辅以安全服务贯穿信息安全保障体系的全过程,形成风险可控的安全保障框架体系。

(一)安全管理体系:

落实安全管理机构、人员、建设、运维安全管理等相关要求,指导安全职能的落实、岗位设置和相关人员的安全管理,建立覆盖组织、策略和技术的流程和规范,重点关注系统建设和系统运维管理控制要求,指导安全管理、实施和运维的具体实现。

(二)安全技术体系:

落实安全技术相关控制要求,实现物理环境、通信网络、网络边界、计算环境、管理中心、云计算和移动互联的所有安全控制项,通常采用安全产品加以实现,辅助安全技术以增强安全控制能力。

(三)安全运维体系:

在信息系统的整个生命周期中,通过安全评估、安全加固、渗透测试、应急相应及安全咨询等信息安全技术,对信息系统的各个阶段进行检查、控制与修正,保障信息系统的持续安全运营。
添加新评论